United States Computer Emergency Readiness Team (US-CERT)は1月11日(米国時間)、「Microsoft Releases Security Updates for Edge|CISA」において、MicrosoftがWebブラウザ「Microsoft Edge (Chroniumベース)」の最新版となるバージョン87.0.664.75をリリースしたことを伝えた。Microsoft Edge 87.0.664.75はChromium 87.0.4280.141をベースとしたバージョンで、全部で13件の脆弱性の修正が含まれている。
Chromium 87.0.4280.141はGoogleによって2021年1月6日(米国時間)にリリースされた。このバージョンにはCVEベースで次の13件の脆弱性が修正されており、Edge 87.0.664.75にはこの修正が取り込まれた形になる。
- CVE-2020-16043: ネットワーキングにおけるデータ検証の不備
- CVE-2020-15995: JavaScriptエンジンV8における範囲外のメモリ書き込み
- CVE-2021-21106: AutofillにおけるUse After Free(解放後のメモリ使用)
- CVE-2021-21107: ドラッグ&ドロップにおけるUse After Free
- CVE-2021-21108: メディアにおけるUse After Free
- CVE-2021-21109: PaymentにおけるUse After Free
- CVE-2021-21110: Safe BrowsingにおけるUse After Free
- CVE-2021-21111: WebUIにおけるポリシー適用の不備
- CVE-2021-21112: レンダリングエンジンBlinkにおけるUse After Free
- CVE-2021-21113: 2DグラフィックスライブラリSkiaにおけるヒープバッファオーバーフロー
- CVE-2021-21114: オーディオにおけるUse After Free
- CVE-2021-21115: Safe BrowsingにおけるUse After Free
- CVE-2021-21116: オーディオにおけるヒープバッファオーバーフロー
脆弱性の深刻度はCVE-2021-21116のみが「中(Medium)」であり、残りの12件が「高(High)」に分類されている。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、Microsoftが提供するセキュリティアドバイザリをチェックするとともに、必要に応じてアップデートを適用することを推奨している。